Вероятно, я выполняю неправильную процедуру (я не эксперт в серверах Windows).
Наш сервер использовал самоподписанный сертификат 128 SHA1 для RDP на SBS 2011. Срок действия сертификата истек . Я приступил к созданию нового сертификата из сертификата сервера IIS 7, выбрав опцию «Создать самозаверяющий сертификат».
Затем я перешел в «Конфигурация узла сеанса удаленного рабочего стола», затем щелкнул правой кнопкой мыши RDP-Tcp, затем выбрал сгенерированный сертификат из свойств RDP-Tcp.
После применения и повторного тестирования RDP, Я получаю предупреждение, что "этому корневому сертификату CA не доверяют. Для включения доверия ..."
Несмотря на то, что я могу установить RDP, жалоба есть.
Как я могу это исправить?
Правильный способ обновления или добавления сертификатов (самозаверяющих или подписанных общедоступным центром сертификации) в Windows Small Business Server - это использование мастера «Исправить мою сеть» консоли Windows SBS. Мастер делает две вещи:
Запустите мастер Fix my network, чтобы исправить сертификат следующим образом:
Теперь, в вашем случае, поскольку вы уже вручную обновили сертификат, мастер может не найти просроченный сертификат для исправления. Если да, переустановите уже-обновил сертификат через консоль SBS следующим образом:
На основании вашего комментария все машины, использующие RDP на сервере, присоединены к домену. Следовательно, все они должны доверять сертификату, установленному консолью SBS. Только рабочие станции, не входящие в домен, нуждаются в дополнительных действиях, выполняемых для того, чтобы доверять самозаверяющему сертификату, используемому сервером SBS, а именно использование предоставленного пакета установки сертификата для настройки компьютера, не являющегося доменом, для добавления сертификата в свое хранилище доверенных корневых сертификатов.
Чтобы получить правильно доверенный сертификат, нужно сделать одну из двух вещей.
Let's Encrypt is a great project, but would require HTTP from the internet open to your server to verify domain ownership.
Создание внутреннего CA можно сделать, добавив на сервер роль "Службы сертификатов Active Directory". Обычно не рекомендуется устанавливать CA на контроллер домена, а в SBS, на котором все базируется.
https://technet.microsoft.com/en-us/library/cc731183(v=ws.11).aspx
Третьим способом исправления этой проблемы, как одноразовое, исправление для одного сервера, является создание самоподписанного сертификата с соответствующим именем. Затем вам нужно будет вытащить копию сертификата и поместить его в доверенные корневые центры сертификации для каждого компьютера, который устанавливает соединение. При необходимости это можно сделать через GPO
.